文檔在https://developers.google.com/console/help/new/#generatingdevkeys指出:google +如何保護ios應用程序中嵌入的api-key?
創建,如果你的應用程序在iOS設備上運行,使用的是iOS密鑰。 Google會驗證每個請求是否都來自與您指定的其中一個包標識符相匹配的iOS應用程序。應用的.plist文件包含其捆綁標識符。例如:com.example.MyApp
這是否意味着google API(服務器端)以某種方式驗證/確保只有我的應用程序可以使用此密鑰?或者,這是否意味着Google提供的iOS庫在接受api-key之前會進行完整性檢查?是否有任何措施可以防止惡意用戶反編譯我的iOS應用程序,並在他自己的應用程序中重新使用此api-key(直接進行HTTP調用而不使用谷歌iOS庫)?
將此擴展到瀏覽器中使用的api-key--唯一的保護似乎是Referer檢查域名白名單。是否有任何東西阻止惡意應用程序開發人員從瀏覽器中獲取我的API密鑰並在其本機應用程序中使用它(這會設置欺騙性Referer標頭)?